内部审计全面风险管理报告
我国《内部审计具体准则第17号--重要性与审计风险》中对审计风险的定义是:审计风险,是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计风险于客观上普遍存在,发生时具有偶然性和灾害性,因而必须对审计风险进行管理。要进行风险管理,首先必须明确内部审计风险的形成、种类及原因。
一、内部审计风险形成的原因
形成内部审计风险的因素如下:
1、内部审计机构未能有效保证其组织上、业务上的独立性。 独立性是审计工作的灵魂,不能有效保证审计机构和人员在组织上的独立性,在业务工作中的权威性,就不能保证审计质量和规避审计风险。
2、内部审计人员业务能力的局限性,内审人员普遍具有的综合素质和专业技能与审计工作的要求还有相当距离,审计人员受专业知识局限、缺乏综合专业的审计知识,判断和识别审计风险的能力较差。
3、内部审计方法的影响(1)内部审计方法滞后的影响。目前内审模式仍以账项基础审计方法为主,主要审计目的是
“查错防弊”,审计风险控制因素考虑较少,更谈不上运用以风险导向为核心的审计方法来防范和化解风险。(2)抽样审计误差的影响。抽样技术虽已被广泛应用,但内审人员在运用这一技术时,全凭审计人员的主观经验来确定样本规模和样本评价结果,容易遗漏重要事项,形成审计风险。
4、受外部审计环境的影响。内部审计事项的复杂性和隐蔽性往往会增加审计难度,使审计人员对事实真相难以做出准确判断,一些敏感事项涉及人事关系复杂,舞弊手段隐蔽,内审人员取证难度大,从而面临审计风险;被审计单位内部控制制度较差,会计信息失真,从而内部审计风险增大。
审计业务的每一环节都可能产生风险因素。当审计人员进行审计时,可能会由于被审计单位外部环境的复杂性或不利条件,被审计单位的经济业务的特殊性等原因,使选择的被审计单位风险较高;拟订审计计划时,有计划不充分,而使审计人员做出错误审计决策的计划风险;组建审计小组时,有委派人员不胜任工作而导致的风险;收集审计证据时,有收集不到足够有力的证据的风险;编制审计报告时,有审计意见不当的报告风险;出具审计报告之后,还有期后事项对审计结论影响的风险等等,不一而足。每种风险都是多因素的结合,不仅仅是单因素作用的结果。正因为审计风险贯穿于整个审计执业过程,因此要进行全过程审计风险管理。
二、 内部审计风险的防范与控制
1、保证内审机构和人员在组织上、业务上实质性独立。内审实现其职能,发挥其作用,必须设置专门的内部审计机构,独立于其他职能部门;设置专职的审计人员,不参与其他职能部门的管理活动和业务活动,置身于具体的业务活动之外,不直接承担经营责任;在领导关系选择上要提高内审机构的直属领导层次,层次越高,其独立性越强;在领导体制的选择上要考虑审计活动与业务经营活动的关系、与财会工作的关系,以及与其他管理工作的关系,避免一人既分管财会工作,又领导审计工作;保证审计机构和人员在开展业务中的实质性独立,自主地选择审计项目,确定审计重点,编制审计计划,实施审计程序,完成审计报告。
2、提高内审人员的综合素质。内部审计是一项专业性和技术性要求比较强的工作,是一项综合性的经济监督工作。内部审计要求审计人员必须具备严谨的工作作风和高度的责任心;必须具有扎实的会计、工程、审计理论和审计技能,具有敏锐的分析能力和准确的判断能力,具有较强的口头和文字表达能力;具备经营管理知识,通晓财政经济法规,还要对被审单位、部门的生产经营及技术方法有一定了解。
3、强化风险意识,更新现行内部审计技术,确立以制度遵守性测试为基础的风险基础审计。正确认识审计风险是内部审计自身发展的要求,也是市场经济发展的需要,内审人员要冲破传统审计思路和方法的束缚,从思想上、观念上
深入理解审计风险,在审计方法上引进以风险为导向的风险基础审计模式,以风险的分析与控制为出发点,以保证审计质量为前提,统筹运用实质性测试、符合性测试、分析性检查等方法,综合各种审计证据,来控制审计风险。
4、建立良好的内部运行机制,完善内部质量控制制度建立良好的内部运行机制,完善内部质量控制制度,是控制风险的有力保证。质量控制制度应从全面质量管理和单一项目质量管理两个方面构建,全面质量管理应着重从职业道德原则、专业胜任能力、工作委派、分级督导制度和对全面质量控制政策与程序的执行情况的监控等方面入手建立控制程序,以保证审计质量,把风险水平降低到可接受水平;单一项目质量管理应重点建立主审负责、审计底稿三级复核、审计部门领导巡视、审计项目质量考核等方面的制度,把好每个审计项目的质量和风险关。
三、我公司在审计风险管理方面所做的工作
1、建立、完善了一系列的审计管理制度和工作标准,使审计工作有法可依、有章可循;
2、逐年加大培训力度,培养内审人员坚持实事求是、客观公正、廉洁奉公的职业道德,不断更新其业务知识,提高自身综合素质,提高审计人员的职业敏感性,提高审计人员对经济活动的分析、判断、预测能力,造就一批素质高、能力强的内审工作队伍,以期达到主动控制风险的目的。
3、利用计算机软件进行审计,尽量减少影响审计结果的各种人为的因素。
4、按照相关制度,积极参加省公司和集团公司举办的内部精品审计项目评审活动,提高审计项目质量管理水平,尽量把审计项目风险降到最低程度。
第二篇:IIA立场公告_内部审计在企业全面风险管理中的作用
IIA立场公告:内部审计在企业全面风险管理中的作用
简介
风险管理对于良好的公司治理的重要性已经越来越为人们所认识。组织承受的压力是识别所有面临的风险,诸如社会、道德、环境及财务和运营方面的风险,并解释如何管理风险使之降低到可接受的水平。同时,全面风险管理框架具备的优势被组织充分认识而日益得到普及。内部审计通过其确认和咨询作用,利用各种方式协助全面风险管理的实现。
什么是企业全面风险管理?
人们从事风险管理活动以识别、评估、管理和控制各类事项或情况。这些事项或情况涵盖单个项目或狭义的风险类型(如市场风险)以及整个组织面临的威胁和机遇。本立场公告所阐述的原则可以用于指导内部审计对各类风险管理的参与,但是我们特别关注企业的全面风险管理,因为这更有助于改善组织的治理过程。
企业全面风险管理(ERM)是贯穿整个组织的具有结构性、一致性和持续性的过程,用以识别、评估并确定如何应对及报告影响组织实现目标的机遇和威胁。
企业全面风险管理的责任
董事会对确保风险得到管理负全部责任。实践中,董事会将风险管理框架的运作授权给管理团队来执行,由管理团队负责完成以下所列的各项活动。可以设立一项单独的职能协调和项目化管理这些活动,并利用专业技能和知识。
组织中的每个人都在确保成功的企业全面风险管理中发挥作用,但管理层对识别和管理风险负主要责任。
企业全面风险管理的好处
企业全面风险管理框架能够在协助组织管理风险从而实现目标方面做出重大贡献,其好处包括:为实现组织目标提供更大的可能性;在董事会层面综合报告不同的风险;提高对主要风险及其广泛影响的认识;识别和分担跨业务风险;对重要事项集中管理;减少意外或危机;在组织内部更加关注用正确的方法做正确的事情;对将要采取的行动增加变更的可能性;具备为获取更高回报而承担更大风险的能力;更有依据的风险承受和决策。
企业全面风险管理活动
企业全面风险管理活动包括:说明和沟通组织目标;确定组织的风险偏好;建立适当的内部环境,包括风险管理框架;识别影响目标实现的潜在威胁;评估风险(如,威胁的影响和发生可能性);选择和实施风险应对;采取控制和其他应对措施;组织中所有层级采用一致的方式进行风险信息沟通;集中监督和协调风险管理过程及结果;为风险管理的效果提供确认。
对企业全面风险管理的确认
董事会或同类机构的主要要求之一是确保风险管理过程有效运作且主要风险被控制在可接受的水平。对全面风险管理的确认源自不同的渠道,其中来自管理层的确认是最基本的,应当与客观确认相结合,而内部审计是客观确认的主要来源;其它来源包括外部审计师和独立的专家检查。通常内部审计师对以下三方面提供确认:风险管理过程,包括其设计和运行情况;对“主要”风险进行管理,包括控制的效果和其他应对措施;可靠、适当的风险评估及对风险和控制情况的报告。
内部审计在企业全面风险管理中的确认作用
内部审计是一种独立客观的确认和咨询活动,其与企业全面风险管理相关的核心功能是为董事会提供关于风险管理效果的客观确认。研究表明,事实上董事会成员和内部审计师均认可内部审计为组织增加价值的两种最重要的方式是为主要业务风险已得到适当管理提供客观确认及为风险管理和内部控制框架正在有效地运作提供确认。
图1表示企业全面风险管理活动的范围,指出有效的专业内部审计活动应当及不应当(同样重要)承担的功能。确定内部审计的作用时需要考虑的主要因素是该活动是否对内部审计部门的独立性和客观性产生任何威胁,是否可能改进组织的风险管理、控制和治理过程。
图1的左侧是所有确认活动。这些活动从一个侧面为风险管理提供了更加客观的确认。遵循《标准》的内部审计工作能够并应当至少执行其中的某些活动。
内部审计在企业全面风险管理中的咨询作用
内部审计能为改进组织的治理、风险管理和控制过程提供咨询服务。内部审计师对企业全面风险管理的咨询工作的深入程度取决于其他资源,包括董事会所能够获取的内部和外部的资源,还取决于组织的风险成熟度,并且可能会随时间而变化。内部审计师在考虑风险、了解风险和治理之间的联系及推动方面的专长,意味着内部审计部门完全有能力作为企业全面风险管理的推动者,甚至项目的管理者,特别是在引入企业全面风险管理概念的早期。随着组织风险成熟度的增加和风险管理在业务操作中的不断深入,内部审计对企业全面风险管理的推动作用可能会减弱。类似的,如果组织雇用了风险管理专家或机构服务,则内部审计更可能通过专注于确认作用来增加价值,而不是通过更多地开展咨询活动。然而,如果内部审计未采取图1左侧确认活动所表明的以风险为基础的方法,就不可能开展图1中间的咨询活动。
图1中间部分说明了与企业全面风险管理相关的内部审计的咨询作用。一般来说,越偏向转盘右侧的内部审计咨询活动,越需要安全保障措施以维护它的独立性和客观性。内部审计部门可以承担的一些咨询作用包括:将内部审计分析风险和控制所用的工具与技术提供给管理层;作为将企业全面风险管理引入组织的倡导者,充分发挥其在风险管理和控制方面的专业知识及对组织的总体认知方面的优势;提供建议,推动专题讨论会,指导组织风险和控制,促进共同语言、框架和理解的建立;作为协调、监督和报告风险的中心;协助管理者确定降低风险的最佳方式。
确定咨询服务与确认作用是否能够共处的主要因素是确定内部审计师是否承担了任何的管理责任。在企业全面风险管理中,只要内部审计没有实际管理风险的职能(这是管理层的职责),只要高级管理层积极认可和支持企业全面风险管理,内部审计就能够提供咨询服务。我们建议,无论何时内部审计部门都致力于帮助管理层建立或改进风险管理过程。
内部审计参与企业全面风险管理的前提条件(安全措施)
如图1所示,在满足某些条件时,内部审计可能拓展其对企业全面风险管理的参与。这些条件包括:应当明确管理层对风险管理的职责;内部审计师职责的性质应当写入内部审计章程并由审计委员会审批通过;内部审计不应当代表管理层管理任何风险;内部审计应当提供建议、挑战并支持管理层作决定,而不是他们自行做出风险管理决定。内部审计不能同时为其所负责的风险管理框架的任何一部分提供客观确认。这种确认服务应当由其他适当的、有资格的人提供;确认活动之外的任何工作应当被视为一种咨询业务,应当遵循与此业务相关的实施标准。
内部审计参与企业全面风险管理应具备的技能和知识结构
内部审计师和风险经理共享某些知识、技能和价值。例如,他们都了解公司治理的要求,具有项目管理、分析和推进技巧,重视良好的风险平衡而不是极端地承担或者逃避风险。然而,风险经理只为组织的管理层服务,不必为审计委员会提供独立和客观确认。内部审计师在介入企业全面风险管理时也不应该低估风险经理的专业知识(例如风险转移与风险量化和建模技术),这些知识对大部分内部审计师来说是陌生的。内部审计师如果不能证明自己拥有适当技能和知识,就不应当承担风险管理领域的工作。另外,如果内部审计部门没有充分的技能和知识可以利用,也无法从其他地方获得,内部审计负责人不应当提供此领域的咨询服务。
结论
风险管理是公司治理的基本要素。管理层代表董事会负责建立和实施风险管理框架。企业全面风险管理因其结构性、一致性和持续性的方法带来很多好处。内部审计师在企业全面风险管理中的核心作用应当是为管理层和董事会就风险管理的有效性提供确认,内部审计在此核心作用之外拓展业务活动时,应当采取一定的安全措施,包括将业务看作是咨询服务并因此适用所有相关的《标准》。内部审计通过这种方式保护其确认服务的
独立性和客观性。遵从这些约束,企业全面风险管理就能够帮助提高内部审计形象,增强内部审计效果。
术语定义
确认服务:为独立评估组织的治理、风险管理和控制过程而对证据进行的客观检查,例如财务、绩效、合规性、系统安全和尽职调查等业务。
董事会:泛指组织的治理机构。
拥护者:指支持和保卫某人或某事的人。因此,风险管理拥护者将提升其优势、教育组织的管理层和职员如何执行那些他们需要采取的措施并将在这些措施的实施过程中鼓励并支持他们。
咨询服务:指咨询及相关的客户服务活动,其性质和范围需与客户协商确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询服务。
控制:指管理层、董事会和其他方面为管理风险、增加实现既定目标的可能性而采取的任何行动。管理层负责计划、组织并指导实施充分的行动,为实现目标和目的提供合理保证。
企业:指为达成一定目标而建立的组织。
企业全面风险管理:指贯穿整个组织的具有结构性、一致性和持续性的过程,以识别、评估、决定如何应对及报告影响组织目标实现的机遇和威胁。
推动:指与团体(或个人)合作使其更容易就会议或活动的目标达成一致。包括倾听、质疑、观察、提问和支持该团体及成员,但不包括参与具体工作或决策。
风险:指对实现目标有影响的事件实际发生的可能性。风险通过影响程度和发生的可能性来衡量。
风险偏好:指组织愿意承受的风险水平。
风险管理框架:指组织所选的实施风险管理过程的结构、方法、程序和定义的总称。 风险管理过程:指识别、评估、管理和控制潜在事项或情况的过程,为实现业务目标提供合理确认。
风险成熟度:指由管理层按计划所采取和应用的强有力的风险管理方法的内容,在组织中,识别、评价、决定风险反应和报告影响组织目标实现的机遇和挑战。 风险反应:指组织管理个别风险所选用的方式。主要类型:容忍风险;减少风险的影响和可能性;风险转移或终止产生风险的活动。内部控制是应对风险的一种方式。
来源:中审网校www.Auditcn.com